Bit24.cash، سرویس تبادل ارز دیجیتال در ایران، به طور تصادفی اطلاعات مهم نزدیک به ۲۳۰۰۰۰ کاربر را افشا کرده است. بر اساس گزارشها، پیکربندی نامناسب توسط این سرویس منجر به درز اطلاعات مشتریان از جمله پاسپورت، کارت ملی، کارتهای اعتباری و رضایت کتبی به تنظیمکنندهها شده است.
مانند سایر صرافیهای ارز دیجیتال، bit24.cash نیز تحت شرایط «مشتری خود را بشناسید» (KYC) عمل میکند. اگرچه بسیاری استدلال میکنند که شیوههای KYC با پایهگذاری رمزارز، که به طور گسترده مبتنی بر ناشناس بودن است، مخالف است، اما بهرحال سرویسهای متعددی چنین مقرراتی را برای جلوگیری از فعالیتهای مجرمانه انجام میدهند.
مشکل در فرایند «مشتریان خود را بشناسید» – به اختصار KYC
در طول فرآیند KYC، مشتریان باید اسنادی را برای تأیید هویت خود ارائه دهند. با توجه به اینکه این اسناد حاوی اطلاعات شخصی حساس هستند، ضروری است که شرکتهایی که چنین دادههایی را مدیریت میکنند و به آن نیاز دارند، با جدیت و مسئولیت کامل از امن و خصوصی بودن آن اطمینان حاصل کنند.
به گفته محققان Cybernews، این نشت از نمونه MinIO با پیکربندی نادرست سرچشمه گرفته که باعث دسترسی به فضای S3 که میزبان دادههای حساس روی پلتفرم بودند، شده است. نمونه در معرض خطر از آن زمان ایمن شده و دادههای در معرض دید دیگر قابل دسترسی نیستند.
هیچ مشکلی نداشتیم – ادعای کارمند bit24.cash
سایبرنیوز برای اظهار نظر با bit24.cash تماس گرفت. این شرکت ادعا کرد که هیچ مدرکی دال بر نقض داده یا دسترسی غیرمجاز به دادههای حساس مشتری پیدا نکرده است.
مهندس امنیت bit24.cash در پاسخ ایمیلی به Cybernews اعلام کرد که مشکل گفته شده با معماری سیستم و پروتکل امنیتی ما همخوانی ندارد. ما تائید ميکنیم که تنظیمات MinIO و فضاهای ابری ما کاملا امن هستند و هیچ دسترسی غیرمجازی به دادههای حساس صورت نگرفته است.
